Mengumpulkan log CloudPassage Halo

Dokumen ini menjelaskan cara mengumpulkan log CloudPassage Halo (sebelumnya CloudPassage) dengan menyiapkan feed Google Security Operations menggunakan API Pihak ketiga.

Label penyerapan mengidentifikasi parser yang menormalisasi data log mentah ke format UDM terstruktur. Informasi dalam dokumen ini berlaku untuk parser dengan label penyerapan CLOUD_PASSAGE.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

• Instance Google SecOps
• Akses istimewa ke portal CloudPassage Halo dengan izin administrator
• Akun CloudPassage Halo aktif dengan akses API diaktifkan

Mengonfigurasi akses CloudPassage Halo API

Agar Google SecOps dapat menarik log peristiwa, Anda perlu membuat pasangan kunci API dengan izin hanya baca.

Membuat pasangan kunci API

1. Login ke CloudPassage Halo Portal.
2. Buka Setelan > Administrasi Situs > Kunci API.
3. Klik Create Key atau New API Key.
4. Berikan detail konfigurasi berikut:
   • Nama Kunci: Masukkan nama deskriptif (misalnya, Google SecOps Integration).
   • Hanya Baca: Pilih Ya (akses hanya baca direkomendasikan untuk keamanan).
5. Klik Create.

Mencatat kredensial API

Setelah membuat kunci API, Anda akan menerima kredensial berikut:

• ID Kunci: ID kunci API unik Anda (misalnya, abc123def456)
• Secret Key: Kunci rahasia API Anda (misalnya, xyz789uvw012)

Izin API yang diperlukan

Kunci API CloudPassage Halo mendukung tingkat izin berikut:

Menyiapkan feed

Untuk mengonfigurasi feed, ikuti langkah-langkah berikut:

1. Buka Setelan SIEM > Feed.
2. Klik Tambahkan Feed Baru.
3. Di halaman berikutnya, klik Konfigurasi satu feed.
4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, CloudPassage Halo Events).
5. Pilih Third party API sebagai Source type.
6. Pilih Cloud Passage sebagai Log type.
7. Klik Berikutnya.

8. Tentukan nilai untuk parameter input berikut:

   • Nama pengguna: Masukkan ID Kunci dari pasangan kunci API CloudPassage Halo yang dibuat sebelumnya.
   • Secret: Masukkan Secret Key dari pasangan kunci API CloudPassage Halo yang dibuat sebelumnya.

   • Jenis peristiwa (opsional): Tentukan jenis peristiwa yang akan di-ingest. Masukkan satu jenis acara per baris.

     • Jika Anda membiarkan kolom ini kosong, feed akan otomatis mengambil jenis peristiwa default berikut:
       • fim_target_integrity_changed (Peristiwa Pemantauan Integritas File)
       • lids_rule_failed (Peristiwa Log-based Intrusion Detection System)
       • sca_rule_failed (Peristiwa Penilaian Konfigurasi Keamanan)

     Untuk mengambil jenis peristiwa tambahan, masukkan satu per baris. Contoh:

     fim_target_integrity_changed
     lids_rule_failed
     sca_rule_failed
     lids_rule_passed
     sca_rule_passed
     agent_connection_lost
     

   • Namespace aset: Namespace aset.
   • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

9. Klik Berikutnya.

10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Setelah penyiapan, feed akan mulai mengambil log peristiwa dari CloudPassage Halo API secara kronologis.

Tabel pemetaan UDM

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.